DPO: Rde responsabilité pour le délégué aux données
Dr. Dirk Spacek
Dirk Spacek est partenaire et co-responsable des groupes de pratique TMC et IP. Il s'occupe principalement des nouveaux modèles commerciaux dans les secteurs des médias, d'Internet et de la technologie, de la commercialisation des données et du droit de la propriété intellectuelle.
Aides de travail appropriées
Entre-temps, ces deux dispositions ont été supprimées. Il n'est plus nécessaire de tenir un registre des fichiers et le Data Protection Officer (DPO)a remplacé l'ancien "responsable de la protection des données". Quel est son rôle? Sa convocation est-elle obligatoire? Et que se passe-t-il s'il fait une erreur? Est-il responsable ou l'entreprise est-elle responsable? C'est à ces questions et à d'autres similaires que le présent article tente de répondre.
Est-il vraiment nécessaire de désigner un DPO? Chaque entreprise en a-t-elle un?
Non. Les responsables privés ont la possibilité de nommer un conseiller à la protection des données. Il n'y a toutefois pas d'obligation de les nommer (voir art. 10, al. 1, LPD, disposition "facultative"). Pour les personnes concernées et les autorités, un tel conseiller à la protection des données constitue tout de même un point de contact approprié et il peut éventuellement contribuer à améliorer la réputation de l'entreprise. Le seul avantage formel de la désignation d'un conseiller à la protection des données est que l'entreprise peut renoncer à la consultation du PFPDT dans le cadre d'une analyse d'impact relative à la protection des données si elle a consulté le conseiller à la protection des données (art. 23, al. 4, LPD). Il existe donc une différence fondamentale avec l'UE, où la désignation d'un "délégué à la protection des données" est en principe obligatoire et où il est possible d'y renoncer dans quelques cas. Il convient de noter que de nombreuses entreprises déclarent en interne des personnes responsables des questions de protection des données (p. ex. un responsable de la conformité ou une fonction similaire). Or, cela ne correspond pas à la fonction de Data Protection Officer au sens de la LPD. Un conseiller à la protection des données au sens de la LPD doit être formellement constitué en tant que tel, répondre à des exigences contraignantes en termes de contenu (voir plus loin) et être également annoncé aux autorités (PFPDT) afin de déployer pleinement ses effets juridiques.
Quelles exigences légales un conseiller en protection des données doit-il remplir?
Selon l'article 10 de la LPD, un DPO doit exercer son activité "de manière indépendante et sans être lié par des instructions". Cela implique que dans l'exercice de sa fonction, il doit se situer en dehors de la ligne hiérarchique soumise à des instructions. Dans un organigramme, il doit généralement être placé au niveau horizontal, comme d'autres fonctions telles que CIO, CFO, CEO, et non au niveau vertical dans une ligne hiérarchique liée. En outre, le conseiller à la protection des données ne doit pas exercer d'activités qui seraient incompatibles avec son activité de conseil en matière de protection des données ou qui l'exposeraient à des conflits d'intérêts. Par exemple, l'union personnelle du CEO et du conseiller à la protection des données ou du CFO et du conseiller à la protection des données serait incompatible, car le conseiller à la protection des données ne devrait pas assumer simultanément de telles fonctions qui se chevauchent. Il serait par exemple possible qu'en tant que conseiller en protection des données, il diagnostique une mesure requise par la législation sur la protection des données, mais qu'en même temps, en tant que CFO, il estime que cette mesure n'est pas rentable parce qu'elle nécessite des transformations opérationnelles compliquées. Dans de tels cas, la prise en charge de deux fonctions de ce type crée un potentiel de conflit d'intérêts et devrait donc être évitée de préférence. Enfin, le conseiller à la protection des données doit disposer des "connaissances spécialisées" nécessaires. Cela ne signifie nullement qu'il doit être un juriste diplômé. Mais il doit être familiarisé avec la protection et la gestion des données et savoir quand il est nécessaire de faire appel à un expert en protection des données. Différentes méthodes peuvent être envisagées comme base de ces connaissances spécialisées. Il est possible qu'une personne acquière ces connaissances en interne sous la supervision d'un expert en protection des données ou qu'elle ait suivi une formation continue dans le cadre, par exemple, d'un CAS en gestion de la protection des données ou d'une certification (par exemple, Certified Privacy Professional CIPP/EU). On trouve aussi parfois dans la pratique des juristes de formation (in-house-legal counsel) qui se consacrent exclusivement à l'activité de Data Protection Officer. Mais ce n'est pas toujours le cas. Le conseiller en protection des données est toujours autorisé et même encouragé à faire appel à des conseils externes en matière de protection des données (par exemple parce que l'éventail des risques est trop large ou parce qu'il concerne par exemple des juridictions étrangères qu'il ne connaît pas ou ne peut pas évaluer).
Qui est généralement responsable d'une entreprise en matière de protection des données?
Il convient de distinguer les sanctions civiles, administratives et pénales. En droit civil, l'entreprise responsable est en principe visée. On peut penser ici à une plainte d'une personne concernée contre l'entreprise - par exemple en vue de faire cesser une pratique de traitement, d'obtenir des dommages et intérêts ou une réparation morale. Les violations de la LPD peuvent également entraîner des procédures de droit administratif contre l'entreprise responsable: En cas de violation de la protection des données, le PFPDT peut ouvrir une procédure d'enquête de droit administratif (art. 49 LPD) et ordonner certaines mesures administratives (art. 51 LPD). Etant donné que ces procédures sont en partie publiques, elles entraînent régulièrement un préjudice de réputation.
Recommandations de produits
La question se pose différemment dans le domaine des sanctions pénales: Les dispositions pénales de la LPD visent en principe les personnes physiques responsables de la violation. Notre code pénal ne connaît pas de punissabilité fondamentale de l'entreprise. C'est ce qui distingue la Suisse de l'UE, où le règlement général de l'UE sur la protection des données (RGPD) prévoit de lourdes amendes pour les entreprises. Si une personne morale est soumise à des obligations au sens de la LPD suisse, les personnes physiques qui agissent effectivement pour l'entreprise et qui remplissent les conditions de l'infraction sont responsables. Sont visées les personnes dirigeantes qui, en raison de leur obligation, sont compétentes pour garantir le respect de la LPD dans l'entreprise (p. ex. conseils d'administration, direction) ainsi que toute autre personne qui, en raison de sa compétence, a une vue d'ensemble du processus de traitement des données pertinent et en est responsable. Ce cercle de personnes peut inclure des fonctions telles que CIO, CISO ou Compliance et notamment les responsables internes de la protection des données, mais ceux-ci ne sont pas les seuls à être exclusivement concernés. Sont également concernés tous les organes de fait, c'est-à-dire ceux qui disposent d'un pouvoir de décision et d'instruction effectif en ce qui concerne les opérations de traitement des données. Les simples coordinateurs de la protection des données ou les chefs de projet sans pouvoir de décision ni d'instruction ne font pas partie des personnes dirigeantes. Il convient de déterminer au cas par cas qui peut être considéré comme l'auteur de l'infraction. La réglementation interne de l'entreprise en matière de responsabilité est toujours déterminante pour l'évaluation.
Si l'amende prévue n'excède pas CHF 50'000 et que les efforts pour trouver la personne responsable dans une entreprise seraient disproportionnés, l'autorité de poursuite pénale peut alors renoncer à poursuivre cette personne et condamner à la place l'entreprise commerciale (art. 6 et 7 de la loi fédérale sur le droit pénal administratif (DPA) en relation avec l'art. 64 DPA). art. 64 LPD). Cette réglementation reste toutefois l'exception.
L'amende maximale s'élève à CHF 250'000, la situation économique étant prise en compte dans le calcul de l'amende. Les autorités cantonales de poursuite pénale sont compétentes en matière de poursuite pénale.
Et quand un conseiller en protection des données est-il responsable?
Comme l'ont montré les explications ci-dessus, ce n'est pas seulement le Dqui est responsable, mais en principe toute personne de la direction qui est "habilitée à prendre des décisions" en matière de traitement des données. Un conseiller à la protection des données n'est donc pas automatiquement responsable à lui seul de tout ce qui se passe dans une entreprise avec des données. La contribution causale aux décisions concernant les activités de traitement des données est déterminante. Plusieurs responsables au sein d'une entreprise peuvent tout à fait être tenus pour responsables d'infractions à la protection des données. Un conseiller en protection des données n'entre en ligne de compte comme porteur de sanctions pénales que si des pouvoirs de décision ou d'instruction lui ont été effectivement délégués, c'est-à-dire s'il n'agit pas seulement en tant que conseiller, mais effectivement en tant que responsable (c'est-à-dire s'il définit des processus de données dans l'entreprise de manière contraignante pour tous, qui doivent ensuite être respectés). Seuls les conseils, même mauvais, alors que d'autres exercent en fin de compte le traitement des données et en décident, ne sont pas punissables en vertu des articles 60 et suivants LPD. LPD sont punissables. On peut néanmoins se demander si un conseiller à la protection des données qui motive intentionnellement des responsables à commettre des actes punissables en vertu de la LPD pourrait entrer en ligne de compte comme instigateur.
En d'autres termes, il n'est pas facile de contourner les sanctions pénales prévues par la LPD en nommant un DPO (c'est-à-dire qu'il répondra de toutes les infractions à la protection des données commises par l'entreprise). Il faudrait plutôt lui déléguer efficacement le pouvoir de décision et d'instruction pour tous les processus de traitement des données. Si ce n'est pas le cas et que d'autres organes d'une entreprise continuent d'agir de leur propre chef sur les processus de traitement des données (p. ex.Le directeur financier décide de l'outil dans lequel les données financières et de solvabilité des clients sont enregistrées et dans quelle mesure elles sont analysées/filtrées), on se trouve alors en présence d'un pool de responsables multiples du traitement des données, dont chacun peut être considéré comme un coauteur potentiel au sens des sanctions pénales de la LPD.
Ne pourrait-on pas tout simplement assurer les infractions à la protection des données (amendes)? Ainsi, cette question ne se poserait même plus?
Selon la doctrine dominante, les amendes ne peuvent être ni assurées ni payées par l'employeur en cas de faute intentionnelle. Cela pourrait constituer un délit de favoritisme au sens de l'art. 305 du Code pénal (CP). La question de savoir si la prise en charge obligatoire de telles amendes est contraire aux mœurs/nulle est également discutée, d'autant plus qu'elle encourage un comportement punissable ou du moins réduit les facteurs d'inhibition pour la réalisation de tels actes. Le droit pénal serait ainsi privé de sa fonction de prévention générale. Il est toutefois possible, selon les assurances, d'assurer les amendes en cas de négligence et les indemnités pour les prétentions civiles justifiées, les frais d'avocat et de procédure ainsi que les frais de défense contre les prétentions injustifiées (assurance dite D&O).
En quoi le contrôleur de la protection des données fait-il bien son travail dans tous les cas?
Il doit d'abord vérifier s'il détient un pouvoir de décision et d'instruction, et dans quelle mesure. Dès qu'il en a, il doit être plus conscient des conséquences de son activité et faire preuve de plus de prudence dans ses activités (éventuellement même des déclarations trop prudentes dans les procès-verbaux des réunions d'affaires, des instructions restrictives concernant les traitements de données, en cas d'incertitude, des vérifications de certains aspects par des avocats externes, etc.) S'il n'exerce qu'une activité de conseil et que d'autres personnes décident de la mise en œuvre concrète de traitements de données, son activité est moins exposée aux risques. Toutefois, en tant que conseiller, il doit lui aussi travailler soigneusement et consciencieusement. S'il donne de mauvais conseils, cela pourrait avoir des conséquences sur le plan du droit du travail. L'entreprise pourrait, le cas échéant, le licencier et il pourrait être tenu responsable des dommages causés dans les rapports internes (c'est-à-dire vis-à-vis de l'employeur) (art. 321e CO).
Enfin, il convient de rappeler - toujours dans un souci de simplification - que seuls les actes spécifiques énumérés de manière exhaustive dans la LPD entraînent des sanctions pénales, alors que les autres infractions à la LPD n'ont pas de conséquences pénales. Parmi les infractions énumérées de manière exhaustive, on trouve: Manque d'information des personnes concernées (dans le cadre d'une déclaration de protection des données), non-réponse ou réponse incomplète aux demandes de renseignements des personnes concernées, manque de collaboration/coopération avec le PFPDT, omission de mesures de sécurité des données, omission de mesures de sécurité/précautions lors de transferts de données vers des pays tiers peu sûrs. Cela permet tout de même d'établir une liste de points de repère sur lesquels le conseiller à la protection des données devrait se concentrer en premier lieu dans son activité (questions de LPD passibles de sanctions) et sur lesquels il devrait se concentrer en second lieu.
Digression: Externaliser les tâches de l'OPH?
De nombreuses entreprises sont tentées d'externaliser les tâches du conseiller à la protection des données, c'est-à-dire de désigner formellement, par exemple, un cabinet d'avocats externe comme data protection officer (DPO) et de le faire savoir à l'extérieur. Divers cabinets d'avocats refusent d'assumer une telle délégation au sens large ou formel du terme. Ainsi, un cabinet d'avocats offrira certes volontiers des prestations de conseil externes, mais il ne pourra et ne voudra que rarement donner des instructions et prendre des décisions vis-à-vis de l'entreprise pour les activités de traitement des données (c'est-à-dire comme un conseiller à la protection des données au sens des critères d'exigence formels de la LPD). En outre, il ne pourrait exercer sa fonction de conseiller à la protection des données au sens de la LPD que s'il était également au courant de toutes les activités quotidiennes de traitement des données de l'entreprise et s'il avait accès aux fichiers ou aux centres de traitement pertinents. Dans le cas contraire, le cabinet prendrait le risque d'être une "boîte noire". Dans la plupart des cas, l'activité d'un DPO externe désigné se limitera à une activité de conseil externe et allouera contractuellement à l'entreprise conseillée le pouvoir de donner des instructions et de prendre des décisions concernant la mise en œuvre des traitements de données.
